Mancano ormai pochi mesi alla data del 25 maggio 2018, giorno in cui il Regolamento europeo relativo “alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, meglio noto come GDPR 2016/679, diventerà ufficialmente operativo.
I due anni di tempo lasciati alle aziende per adeguarsi stanno trascorrendo imperterriti e termini come accountability, privacy by design o registro dei trattamenti vengono orami ripresi da ogni rivista, anche non specializzata, media o web magazine. Tutti ne parlano e la domanda che tutti si pongono è “a che punto siamo?”
Da alcuni report di aprile 2017, come la ricerca targata ESET e IDC, emerge che le aziende private, in particolare le PMI, sono in forte ritardo sul GDPR: quasi il 78% dei responsabili IT delle aziende coinvolte non ha ancora compreso chiaramente l’impatto della nuova normativa, oppure non ne è a conoscenza. Tra quelle che conoscono il GDPR, il 20% afferma di essere già conforme, il 59% si sta adeguando, e il 21% dichiara di non essere a norma.
E sul fronte pubblico quale è la situazione?
Quante sono le pubbliche amministrazioni che ad esempio hanno previsto e iniziato ad attuare un piano di adeguamento?
Quante hanno predisposto i necessari interventi formativi e divulgativi all’interno della propria organizzazione?
L’impressione è che si stia procedendo, ma ancora a rilento. Quindi la domanda forse più corretta da porsi è “cosa devo fare per essere pronto?”.
La privacy non è un argomento che si possa liquidare velocemente e per mettere a punto tutte le politiche aziendali atte a proteggerla sono necessari impegno e tempo. Sul fronte di supporto alle pubbliche amministrazioni il Garante italiano ha annunciato anche un ciclo di incontri, a partire dal mese di ottobre, per fornire indicazioni operative e aiutare ad individuare le soluzioni più efficaci per una corretta transizione verso le nuove regole. Nell’incontro con le Pubbliche Amministrazioni avvenuto il 12 giugno, il Presidente dell’Autorità Garante Antonello Soro ha ribadito che la piena entrata in vigore del nuovo Regolamento rappresenta (link a ) “un’esigenza temporale molto stringente, con una serie di passaggi non banali per la Pubblica Amministrazione e non solo”, aggiungendo che “Il nuovo regolamento rappresenta inoltre un’opportunità per riorganizzare i processi interni di amministrazioni e imprese”.
L’Autorità ha dunque suggerito alle Pubbliche Amministrazione tre priorità operative:
- La designazione in tempi stretti del Responsabile della protezione dei dati (RPD, l’italianizzazione dell’acronimo DPO, Data Protection Officer, art. 37-39);
- l’istituzione del Registro delle attività di trattamento (art.30 e cons. 171);
- la notifica delle violazioni dei dati personali, i cosiddetti data breach (art. 33 e 34).
Tre pilastri su cui si fonda il nuovo Regolamento europeo.
La figura del DPO ha un ruolo obbligatorio fondamentale: deve raccoglie in sé competenze normative, tecniche, comunicative e di conoscenza profonda dell’organizzazione. È una figura abbastanza nuova e complessa per le PA che dovrà essere formata e responsabilizzata. Dovrebbe essere una figura preferibilmente interna all’Ente dotata di autonomia e di risorse, ma probabilmente è possibile che enti pubblici di piccole dimensioni dovranno aggregarsi e necessariamente ricercare questa figura all’esterno della loro organizzazione.
Il registro dei trattamenti, che riprendendo parte di quanto già veniva un tempo espletato tramite la redazione dell’ex Documento programmatico di sicurezza, costituisce “il libro mastro” del sistema privacy, ovvero il punto di partenza per la predisposizione dell’intero impianto documentale. raccoglierà le evidenze, i controlli e i processi che portano a soddisfare l’”accountability” del sistema privacy.
Il processo di data breach, a cui ogni RPD in cuor suo si augura di non dover mai ricorrere, richiede un’attenta analisi e conoscenza delle informazioni gestite, ma soprattutto investimenti tecnologici nelle modalità di monitoraggio, securizzazione e compartimentazione dei danni che ne possono derivare.
Entrano quindi in gioco tutte le attenzioni legate ai rischi per “i diritti e le libertà delle persone” da valutare attentamente al fine di individuare le misure da adottare, per garantire un adeguato livello di sicurezza dei dati delle persone e proteggere i sistemi informativi che li gestiscono. E come sempre quando si parla di rischi e sicurezza dei dati, in ambito cybersecurity, può essere opportuno valutare anche discorsi legati ad eventuali coperture assicurative.
Può essere utile e possibile per una pubblica amministrazione sottoscrivere una policy per tutelarsi dai danni legati ad un data breach?
A questi argomenti si aggiungono poi gli altri elementi importanti introdotti dal GDPR che devono essere tenuti in stretta considerazione, quali la valutazione d’impatto sulla protezione dei dati (privacy impact assessment o, più brevemente, PIA), la formalizzazione dell’approccio privacy by design, la revisione delle informative e molto altro.
Delle implicazioni del GDPR e della protezione dei dati si potrebbero ancora scrivere decine di pagine, ma un punto appare subito chiaro e cioè che il percorso di adeguamento al nuovo Regolamento non può esimersi dalla predisposizione di un piano dettagliato di azioni, interventi e verifiche per non rischiare di dimenticarsi qualche pezzo per strada.
Di questi argomenti e dei passi che una pubblica amministrazione dovrebbe attuare per adeguarsi al nuovo GDPR si è parlato a Torino il 25 settembre al workshop gratuito “PRIVACY: siamo pronti al nuovo regolamento europeo?“, organizzato dal CSI Piemonte, il consorzio informatico della pubblica amministrazione piemontese, che conta oltre 120 enti pubblici. Un’ottima opportunità sia per comprendere con esperti di settore i vari scenari che si stanno delineando sia per approfondire e ricevere indicazioni e suggerimenti, per giungere al traguardo del 25 maggio con serena tranquillità.
